広告を自動ブロックするもの、翻訳・スペルチェックをするものなど、何らかのブラウザ拡張機能をインストールしたことはありませんか?その機能は、多岐にわたります。しかし、拡張機能には、重大なセキュリティリスクが潜んでおり、安全かどうか確認を怠ると非常に危険です。これまでにどのような脅威が確認されているのでしょうか。 当社の専門家による最新の報告書 に示された、悪意あるブラウザ拡張機能に関するデータを基に解説します。
拡張機能の定義とその役割
ブラウザ拡張機能とは、ブラウザに機能を追加するプラグインです。その種類は様々で、例えば特定のウェブページをブロックしたり、メモを付けたり、スペルを確認するものがあります。多くの人が使用するGoogle ChromeやSafariなどのウェブブラウザから必要なプラグインを選んだり、プラグイン同士を比較したり、インストールしたりできる、公式の拡張機能ポータルもあります。一方で、それ以外の非公式の場所で配布されている拡張機能もあります。
重要なのは、拡張機能が機能するには、ユーザーがブラウザで閲覧するウェブページのコンテンツを読み込み、変更する許可が必要だということです。このアクセス権がなければ、拡張機能はまったく役に立たなくなります。
Google Chromeの場合、拡張機能は、ユーザーがアクセスするすべてのウェブサイトですべてのデータを読み込み、変更することが可能です。例えば、Chromeウェブストアで人気のGoogle翻訳の拡張機能の[プライバシーへの取り組み ]には、位置情報、ユーザーのアクティビティ、ウェブサイトのコンテンツに関する情報が収集される、と記載されています。しかし、すべてのウェブサイトからすべてのデータにアクセスするということは、拡張機能がインストールされるまで、ユーザーに明らかにされていません。
おそらく、多くのユーザーはプライバシーポリシーをよく読まずに、自動的に[Chromeに追加]をクリックし、直ちにプラグインの使用を始めることでしょう。そのため、こういった拡張機能を通じて、サイバー犯罪者が アドウェア、さらには無害そうな拡張機能に見える マルウェア さえも、配信できる機会があるのです。
アドウェア拡張機能は、ウェブサイトに表示されるコンテンツを変更する権限を持ち、ユーザーが開いたウェブサイトに広告を表示させます。この場合、拡張機能の作成者は、ユーザーが広告をクリックし、ウェブサイトにアクセスすることで、収益を得ます。ターゲット広告のコンテンツ改善のために、ユーザーの検索履歴やその他のデータを分析することもあります。
この拡張機能が悪意のあるものであった場合事態は深刻です。閲覧したすべてのウェブサイトのコンテンツへアクセスすることで、攻撃者は カード 情報、Cookie、 その他の機密情報 を盗めるようになります。いくつか例を見ていきましょう。
悪意あるドキュメント管理ツール
近年、サイバー犯罪者は、悪意のあるWebSearchファミリと呼ばれるアドウェア拡張機能を積極的に拡散しています。通常、このファミリに属するものは、WordをPDFに変換できるツールなど、Officeファイルに使用するツールを模倣します。
そのほとんどの拡張機能は、実際にその機能を実行することができます。しかし、インストールされた後、ブラウザのホームページを別のミニサイトに変更します。そのサイトには検索バー、トラッキングが付いたアフィリエイトリンクがついており、AliExpressやFarfetchなど第三者のウェブサイトにユーザーをリダイレクトするようになっています。
悪意のあるアドオンは、デフォルトの検索エンジンもsearch.mywayというものに変更します。これによって、サイバー犯罪者がユーザーの検索クエリを収集、分析したりすることが可能になり、ユーザーの興味に応じてより関連性のあるリンクを表示するようになります。
現在、WebSearch拡張機能は、公式のChromeストアではもう入手できなくなっています。しかし、いまだにそれがダウンロードできる場所が存在しています。
削除できないアドウェアアドオン
別の一般的なアドウェア拡張機能であるDealPlyの一種は、疑わしいサイトからダウンロードされた海賊版コンテンツに付随して、ユーザーのパソコンに忍び込みます。大体はWebSearchプラグインと同じように機能します。
DealPly拡張機能も同様に、ブラウザホームページを人気のあるデジタルプラットフォームへのアフィリエイトリンクを含む、ミニサイトに置き換えます。また、悪意のあるWebSearch拡張機能のように、デフォルトの検索エンジンを変更し、ユーザーの検索クエリを分析するなどして、よりカスタマイズされた広告を生成します。
さらに、DealPlyファミリの拡張機能は、取り除くのが非常に困難です。ユーザーがアドウェア拡張機能を削除しても、ブラウザが開かれる度にデバイスに再インストールされる仕組みになっています。
不要なCookieを残すAddScript
AddScriptファミリの拡張機能は、SNSやプロキシサーバマネージャーから音楽やビデオをダウンロードするツールになりすましています。音楽やビデオをダウンロードしつつも、一方で悪意のあるコードを利用して被害者の端末を感染させます。そして攻撃者は、このコードを使ってユーザーが気付かないバックグラウンドでビデオを再生させ、その再生回数に応じて収入を得ています。
このほかにもサイバー犯罪者は、Cookieを被害者のデバイスにダウンロードすることで収入を得ています。一般的にCookieは、ユーザーがウェブサイトを閲覧したときにデバイスに保存され、デジタルの足跡のような役割を担っています。通常、アフィリエイトサイトは、ユーザーを正規のサイトへ誘導することを約束するものです。しかしAddScriptファミリの拡張機能がある場合、サイバー犯罪者はユーザーを自身のサイトにおびき寄せます。そしてユーザーのパソコンにCookieを保管し、標的のサイトに誘導します。このCookieを使用すると、サイトは新規顧客がどこからアクセスしてきたか把握し、犯罪者であるパートナーに手数料を支払うようになっています。この手数料は、リダイレクトそのものの見返りとしてや、購入された商品の歩合で支払われる場合もあり、さらには登録など特定のアクションに対する見返りとして支払われる場合もあります。
AddScriptを使う詐欺師は、悪意のある拡張機能を用い、その仕組みを濫用しています。彼らは、本物のウェブサイトを訪れたユーザーをパートナーに送る代わりに、複数のCookieをユーザーのデバイスにダウンロードします。これらのCookieは詐欺師のパートナープログラム用の目印として機能し、AddScriptを使用する詐欺師が手数料を受け取ります。実際、彼らは新規顧客を集めているのではありません。彼らの活動の狙いは、悪意のある拡張機能を使ってパソコンを感染させることです。
FB Stealer Cookie泥棒
FB Stealerも別の悪意のある拡張機能のファミリですが、その機能方法はAddScriptなどとは少し異なります。このファミリのメンバーは、デバイスに「余計な物」をダウンロードしません。むしろ重要なCookieを盗みます。これからその仕組みについて説明します。
FB Stealer拡張機能は、トロイの木馬NullMixerと共に、ユーザーのデバイスに入り込みます。これは通常、被害者がハッキングされたソフトウェアインストーラーのダウンロードを試みたときに感染するものです。一度インストールされると、トロイの木馬は、拡張機能に関する情報などChromeのブラウザ設定 を保存するときに使われたファイルを変更します。
それからアクティベーション後、FB StealerはGoogle翻訳拡張機能のふりをし、ユーザーを油断させます。この拡張機能は一見信用できるように見えてしまいます。しかし、公式ストアに情報がないとする警告文は、ブラウザに表示されます。
このファミリーのメンバーもブラウザのデフォルトの検索エンジンを別のものに取り換えてしまうようになっていますが、それはそこまで問題ではありません。FB Stealerはその名の通り、世界最大のSNSからセッションCookieを奪うことです。そのため、このような名前が付けられています。このセッションCookieはサイトにアクセスする際に毎回ログインをスキップできるようにするものと同一のCookieです。そして、このCookieにより、攻撃者はパスワードを使用せずにサイトにログインすることができます。一度アカウントを乗っ取ったら、被害者の友人や親戚に金銭を要求するメッセージの送信などにアカウントを使います。
留意すること
ブラウザ拡張機能は役立つツールですが、本当に安全なのかどうか確かめる必要があります。そのため、以下のセキュリティ対策を推奨します。
- 拡張機能は公式ストアからのみダウンロードしてください。しかしながら、これも完全なセキュリティを保証するものではありません。悪意のある拡張機能は時折、公式ストアにも紛れ込んでいます。
- 過剰に拡張機能をインストールせず、定期的に拡張機能のリストをチェックしてください。ご自分でインストールしていないものが見つかったとしたら、それは明らかに危険信号です。
- 信頼できるセキュリティソリューションをお使いください。